Могу сообщить хорошую новость: эта статья посвящена не презентации продукта Apple! Вместо этого я хочу коснуться другой актуальной темы — атак (заметьте, я не сказал «кибератак») на ряд крупных американских корпораций через компьютеры их сотрудников.
Попадаете ли вы в зону риска? Сложно сказать, потому что большая часть информации об атаках слишком противоречива. Ясно, что многие из жертв помалкивают, сейчас их молчание помогает расследованиям, которые проводят различные государственные службы и частные консультанты — специалисты в области компьютерной безопасности. Однако о чем-то рассказать уже можно.
Прежде всего, очевидно, что атаки инициированы через электронную почту: жертвам были посланы особые сообщения. Журнал Christian Science Monitor отметил на этой неделе, что на адреса трех крупных нефтяных компаний были отправлены сообщения «с наживкой», которые выглядели как обычные письма («Нефтяные компании США подверглись кибератаке: вовлечен ли Китай в этот процесс?» http://www.csmonitor.com/USA/2010/0125/US-oil-industry-hit-by-cyberattacks-Was-China-involved). Фишинговые сообщения содержали ссылку на вредоносный веб-сайт, который использовал одно или несколько известных уязвимых мест для того, чтобы занести троянскую программу в систему жертвы. Будучи инфицированной, система могла удаленно управляться взломщиком и использоваться как трамплин для других атак.
По сути, это та же самая схема, которую взломщики использовали для проникновения в системы в сети Google, Adobe и других компаний. Как можете защитить себя вы?
К сожалению, заинтересованный взломщик с достаточным количеством ресурсов проникнет всюду, куда захочет. Такова суровая реальность. Эксперты в области безопасности ведут речь об «отлаженной продолжительной атаке», advanced persistent threat (APT), как главной проблеме, которая их беспокоит. Похоже, что APT является инструментом «взломщиков, работающих на государственном уровне»: хорошо оснащенных, глубоко разбирающихся в технологиях и располагающих большими человеческими ресурсами. Если вы атакованы противником такого уровня, вам будет крайне сложно защитить себя.
Поскольку я занимаюсь электронной почтой, то хочу обратить ваше внимание на пару моментов. Во в ходе этих атак вредоносное программное обеспечение не посылают по электронной почте, поэтому обычное антивирусное сканирование не может выявить опасных сообщений. Вредоносная программа проникает другим путем. Своевременно обновляемые антивирусные программы могли бы обеспечить защиту от этих атак, хотя некоторые из них используют неизвестные сигнатуры. Поэтому следует проинформировать сотрудников вашей компании и рассказать о случаях, упомянутых в статье из CSM. Кроме того, следует удвоить свои усилия в обучении сотрудников компании искусству обнаруживать коварные сообщения.
Другой способ защитить себя — это наблюдать за необычными пакетами данных, которые отправляются из вашей организации. В большинстве случаев конкретные компьютеры в вашей сети будут иметь предсказуемые пакеты исходящего трафика. Эффективное средство мониторинга, которое включает функцию наблюдения за необычными пакетами данных в электронных сообщениях, может помочь вам обнаружить атаки до того, как взломщик «утащит» какие-либо данные.
Конечно, подобные хакерские нападения будут продолжаться и впредь. Быть готовым к атакам — вот лучший способ защитить свою организацию.
Поль Робишо (getting-started@robichaux.net) — старший системный архитектор компании EntireNet, имеет сертификаты MCSE и MCT